Vor einigen Wochen traf sich das Sicherheitsteam von PagerDuty mit Guy Podjarny aus Der sichere Entwickler für eine Diskussion unserer Sicherheitsphilosophie und einen Blick auf einige der von uns verwendeten Tools.

Eine unserer Leitphilosophien im PagerDuty Sicherheitsteam ist, dass wir hier sind, um mit jedem in der Organisation zusammenzuarbeiten und nicht nur, um „Nein“ zu sagen. Sicherheitsteams werden in Technologieunternehmen oft als blockierende Kraft angesehen, und Mitarbeiter zögern, mit Sicherheitsteams zusammenzuarbeiten, da sie bereits wissen, dass die Antwort, die sie erhalten, „Nein“ ist. Hier bei PagerDuty haben wir bewusst einen anderen Ansatz gewählt. Wir haben mit Guy über unsere Philosophie gesprochen und darüber, dass unsere Aufgabe als Sicherheitsteam darin besteht, Tools und Richtlinien zu entwickeln, die es den Leuten leicht machen, automatisch das Richtige zu tun.

„Wir sind hier, um es den Menschen leicht zu machen, das Richtige zu tun.“

Wir haben darüber gesprochen, wie wir mit anderen Teams im Unternehmen – von der Entwicklung bis zum Vertrieb – zusammenarbeiten, um herauszufinden, was getan werden muss, um die Arbeit auf sichere Weise zu erledigen, ohne den Leuten im Weg zu stehen.

Eine Möglichkeit, wie wir mit anderen Teams zusammenarbeiten, ist unser internes Sicherheitsschulungsprogramm.

Wir haben einen anderen Ansatz gewählt als die üblichen Schulungsprogramme und unser eigenes Sicherheitstraining entwickelt. Im Rahmen des Trainings legen wir großen Wert darauf, allen Mitarbeitern Konzepte wie das Knacken von Passwörtern beizubringen. Allen zu zeigen, wie einfach das sein kann, hat viele Leute für die Idee von Passwortmanagern begeistert und dazu beigetragen, die Informationen unserer Mitarbeiter nicht nur bei der Arbeit, sondern auch in ihrem privaten Online-Leben zu schützen.

Wir diskutieren, wie Sicherheit immer mehr zu einem operativen Problem wird und wie wir beginnen, die gleichen Trends zu sehen wie in der Übergang von Ops zu DevOps vor ein paar Jahren. Die Probleme sind anders, aber die Erkenntnisse sind dieselben. Wir sprechen darüber, wie wir dieses veränderte Terrain angehen und was unsere Pläne für die Zukunft sind.

Tools sind wichtig, und wir haben uns nicht gescheut, verschiedene Tools zu diskutieren, die wir verwendet haben und weiterhin verwenden. Wir erzählen die Geschichte, wie wir die Zwei-Faktor-Authentifizierung für SSH implementiert haben mit Duo Und Yubikeys , wie wir es mit unseren Teams im Betatest getestet und iterativ bearbeitet haben, um eine Lösung zu finden, die für alle gut funktioniert. Wir gehen auch darauf ein, wie wir Tools, die normalerweise für betriebliche Probleme entwickelt wurden, für die Sicherheit verwenden, wie Splunk und Chef. Es lief allerdings nicht alles reibungslos. Guy fragte uns nach anderen Tools, die wir verwenden, und wir erklärten einige Probleme, die wir bei der Implementierung verschiedener Tools hatten, und was in die Entscheidung einfließt, ob wir ein neues Tool verwenden oder nicht.

Hören Sie unsere gesamte Folge von Der sichere Entwickler: PagerDuty sicher halten   um alles zu erfahren .

Befolgen Sie unbedingt die Anweisungen des Secure Developer ( @thesecuredev ) und das PagerDuty Sicherheitsteam: Arup Chakrabarti ( @arupchak ), Rich Adams ( @r_adams ) und Kevin Babcock ( LinkedIn ) für die neuesten Updates!